Cómo proteger tu cripto: Guía de seguridad
La autocustodia significa autorresponsabilidad. Aprende cómo asegurar tus carteras, evitar estafas y proteger tu criptomoneda de los vectores de ataque más comunes que le cuestan a los usuarios miles de millones cada año.
En esta guía
Por qué la seguridad de criptomonedas es importante
En las finanzas tradicionales, los bancos e instituciones actúan como custodios de su dinero. Si su tarjeta de crédito es robada, llama al banco y ellos revierten los cargos. La criptomoneda es fundamentalmente diferente. Cuando usted mantiene cripto en una auto-custodiada billetera, usted es el banco
La magnitud del robo de criptomonedas es asombrosa. Según Chainalysis, $3.8 mil millones fueron robados en hackeos de criptomonedas solo en 2022, el peor año registrado. El hackeo de Ronin Bridge ($625 millones), la vulnerabilidad de Wormhole ($326 millones) y el ataque a Nomad Bridge ($190 millones) demostraron que incluso los proyectos bien financiados con equipos profesionales son vulnerables. En 2023, las pérdidas descendieron a $1.7 mil millones pero siguieron siendo significativas, con el hackeo de Mixin Network ($200 millones) y la vulnerabilidad de Euler Finance ($197 millones) acaparando titulares.
Estas cifras solo incluyen los hackeos a gran escala de protocolos. Las pérdidas individuales por phishing, robo de frase semilla, ataques de intercambio de SIM y ingeniería social suman miles de millones más. La buena noticia: la gran mayoría de estos ataques son prevenibles con prácticas de seguridad adecuadas. Esta guía cubre todo lo que necesitas para protegerte.
Ataques de phishing
Sitios web falsos, correos electrónicos y mensajes directos que te engañan para revelar tu frase semilla o firmar transacciones maliciosas.
Exploits de contratos inteligentes
Errores en el código del protocolo DeFi que permiten a los hackers drenar fondos. Los puentes y los protocolos de préstamo son los más atacados.
Ingeniería social
Suplantación, agentes de soporte falsos, estafas románticas y ataques internos que explotan la confianza humana en lugar del código.
Asegurando su billetera
Su billetera la seguridad comienza con la forma en que manejas tu frase semilla (también llamada frase de recuperación o mnemónico). Esta frase de 12 o 24 palabras es la clave maestra de todos los fondos en tu billetera. Cualquiera que la obtenga puede drenar todos los tokens en todas las cadenas conectadas a esa billetera. No hay segundo factor, ni verificación, ni recuperación si se compromete.
Almacenamiento de la frase semilla: la regla de oro
Nunca almacene su frase semilla digitalmente. No en una aplicación de notas, no en una captura de pantalla, no en almacenamiento en la nube, no en un borrador de correo electrónico, no en un gestor de contraseñas. El almacenamiento digital significa que puede ser accedido remotamente mediante malware, brechas en la nube o cuentas comprometidas. En 2023, los usuarios de LastPass perdieron más de $35 millones en cripto después de que el gestor de contraseñas fuera vulnerado y se robaran bóvedas encriptadas.
Escribe tu frase semilla en papel y guárdala en un lugar seguro e ignífugo. Para almacenamiento a largo plazo, invierte en una copia de seguridad de frase semilla en metal (Cryptosteel, Billfodl, o similar). Las copias de seguridad en metal sobreviven a incendios domésticos, inundaciones y décadas de almacenamiento. Considera dividir tu copia de seguridad en dos ubicaciones usando un método como Shamir's Secret Sharing o simplemente almacenando dos copias en lugares seguros separados (caja fuerte en casa + caja de seguridad bancaria).
Nunca compartas tu frase semilla con nadie. Ningún servicio legítimo, agente de soporte o desarrollador te la pedirá jamás. Si alguien te pide tu frase semilla, es una estafa, 100% del tiempo.
Contraseñas fuertes & gestión de contraseñas
Utilice una contraseña única y robusta para cada cuenta relacionada con criptomonedas (intercambios, correo electrónico, extensiones de navegador de billetera). Una contraseña robusta tiene al menos 16 caracteres con una combinación de mayúsculas, minúsculas, números y símbolos. Nunca reutilice contraseñas en diferentes sitios. Si un servicio se ve comprometido, los atacantes intentarán esas credenciales en cada intercambio y plataforma de criptomonedas.
Utilice un gestor de contraseñas de confianza (1Password, Bitwarden) para generar y almacenar contraseñas únicas. Proteja su gestor de contraseñas con una contraseña maestra fuerte y autenticación mediante clave de hardware. Su cuenta de correo electrónico es especialmente crítica: si un atacante accede a su correo, puede restablecer contraseñas en sus cuentas de intercambio.
Autenticación de dos factores (2FA)
Active el 2FA en cada cuenta que lo admita. No todos los métodos de 2FA son iguales. Aquí está la jerarquía de seguridad, de la más fuerte a la más débil:
Claves de seguridad de hardware (YubiKey, Titan Key): Dispositivos físicos que deben conectarse o tocarse. Inmunes al phishing, intercambios de SIM y ataques remotos. El estándar de oro.
Aplicaciones autenticadoras (Google Authenticator, Authy): Códigos basados en tiempo generados en su teléfono. Mucho mejor que SMS pero vulnerable si su teléfono está comprometido por malware.
2FA basado en SMS: La opción más débil. Vulnerable a ataques de intercambio de SIM, donde un atacante convence a su operador móvil de transferir su número. En 2019, la cuenta del CEO de Twitter Jack Dorsey's fue comprometida mediante intercambio de SIM. Evite el 2FA por SMS para cuentas de cripto.
Si usa una aplicación autenticadora, haga una copia de seguridad de los códigos de recuperación y guárdelos sin conexión. Si pierde su teléfono sin los códigos de respaldo, podría quedar bloqueado permanentemente de sus cuentas.
Carteras de hardware: su mejor defensa
Una billetera de hardware es un dispositivo físico que almacena sus claves privadas sin conexión, completamente aislado de su computadora y de Internet. Incluso si su computadora está infectada con malware, una billetera de hardware no expondrá sus claves privadas. Cada transacción debe confirmarse físicamente en el dispositivo, por lo que un atacante no puede firmar transacciones de forma remota.
Los monederos hardware son la medida de seguridad más eficaz para proteger las criptomonedas. Si posees más de unos pocos cientos de dólares en cripto, un monedero hardware no es opcional -- es esencial.
Ledger
Los dispositivos Ledger (Nano S Plus, Nano X, Stax) utilizan un chip de elemento seguro certificado (la misma tecnología que se usa en tarjetas de crédito y pasaportes) para proteger las claves privadas. Ledger admite más de 5.500 tokens y se integra con MetaMask, Rabby y la mayoría de DeFi aplicaciones a través de Ledger Live. El Nano S Plus (alrededor de $79) es la opción con mejor relación calidad-precio; el Nano X añade Bluetooth para uso móvil.
Importante: Solo compre dispositivos Ledger directamente en ledger.com. Nunca los compre a vendedores externos en Amazon o eBay. Se han usado dispositivos manipulados con frases semilla preestablecidas para robar fondos. Cuando reciba el dispositivo, no debe venir con una frase semilla escrita previamente. Genere la frase semilla durante la configuración.
Trezor
Trezor (Model One, Model T, Safe 3, Safe 5) adopta un enfoque de código abierto, con firmware y hardware totalmente auditables. Los dispositivos Trezor son compatibles con miles de tokens y se integran con MetaMask y los front-ends DeFi más populares. El diseño de código abierto permite que la comunidad de seguridad pueda verificar de forma independiente que el firmware cumple lo que afirma.
Los dispositivos Trezor también se utilizan para configurar una frase de contraseña (a veces llamado la "25ª palabra"), que crea una cartera oculta que es invisible incluso si alguien obtiene tu frase semilla. Esto añade una capa adicional de protección poderosa para tenencias de alto valor.
Cómo configurar una cartera de hardware
Compra directamente al fabricante (ledger.com o trezor.io). Verifica que el sello del embalaje esté intacto al recibirlo.
Inicializa el dispositivo y escribe tu frase semilla en papel (o estampala en metal). Verifica cada palabra cuidadosamente. El dispositivo te pedirá que confirmes las palabras.
Establece un PIN fuerte en el dispositivo. Este PIN protege contra el acceso físico si alguien roba el dispositivo. Después de 3 intentos de PIN incorrectos, el dispositivo se reinicia.
Conéctate a MetaMask o tu interfaz de billetera preferida. Transfiere una pequeña cantidad de prueba primero para confirmar que todo funciona antes de mover mayores fondos.
Guarde la copia de seguridad de la frase semilla en una ubicación física separada del propio dispositivo. Si ambos están en el mismo lugar y ocurre un incendio o robo, perderá todo.
Asegure sus stablecoins mientras genera rendimiento
¿Ya tiene su seguridad cripto bajo control? Ponga su USDC a trabajar con Coinstancy. Gane un 7% de APY en USDC con capitalización diaria, sin período de bloqueo y retiros instantáneos.
Gana 7% APY en USDCEvitando estafas & phishing
Phishing es el vector de ataque número uno en cripto. A diferencia de los hackeos de protocolos que explotan código, el phishing explota tú. Los atacantes crean sitios web falsos convincentes, se hacen pasar por miembros del equipo del proyecto y utilizan la urgencia y el miedo para engañarte y que entregues tu frase semilla o firmes una transacción maliciosa. Aquí están las tácticas más comunes y cómo defenderte contra ellas.
Sitios web falsos
Los estafadores crean clones idénticos de sitios DeFi populares (Uniswap, OpenSea, MetaMask) con nombres de dominio casi idénticos a los reales. Los trucos comunes incluyen sustituir caracteres (uniswap vs un1swap), añadir palabras extra (app-uniswap.org) o usar dominios de nivel superior diferentes (uniswap.io en lugar de uniswap.org). En 2022, un sitio falso de airdrop de Uniswap robó más de $8 millones al engañar a los usuarios para que firmaran transacciones de aprobación.
Defensa: Guarda los URL oficiales de cada protocolo DeFi que uses. Nunca hagas clic en enlaces de Discord, Telegram, anuncios de Twitter o resultados de búsqueda de Google. Siempre verifica el dominio en la barra de direcciones de tu navegador antes de conectar tu billetera o firmar cualquier transacción.
Discord & Telegram MDs
Si alguien te envía un mensaje directo en Discord o Telegram ofreciendo "soporte", un "regalo" o un "airdrop", es una estafa. Los proyectos legítimos nunca inician soporte a través de mensajes directos. Los estafadores se hacen pasar por administradores, moderadores e incluso fundadores de proyectos usando imágenes de perfil idénticas y nombres de usuario similares. El Discord de Bored Ape Yacht Club fue comprometido en junio de 2022, lo que resultó en $360,000 en NFT robados mediante un enlace de mint falso.
Defensa: Desactiva los MD de los miembros del servidor en la configuración de privacidad de Discord. Nunca hagas clic en enlaces enviados por MD. Si alguien afirma ser del "soporte," verifica en el canal oficial del proyecto.
Estafas de Airdrop & Ataques de Dusting
Los estafadores envían tokens sin valor a tu billetera que parecen tener valor. Cuando intentas intercambiar o venderlos, el token's contrato inteligente ya sea roba tus tokens mediante una aprobación oculta o te redirige a un sitio de phishing. Algunos tokens están diseñados para ser invendibles, mostrando un alto valor en los exploradores de bloques pero fallando en cada transacción de venta.
Defensa: Ignora tokens inesperados en tu billetera. No interactúes con ellos, no intentes venderlos y no visites ningún sitio web mencionado en el nombre o descripción del token. Si un token apareció en tu billetera sin que lo compraras, trátalo como malicioso.
Phishing de aprobación
Este es el ataque común más sofisticado. Un sitio malicioso o dApp le pide que firme lo que parece una transacción normal, pero en realidad está aprobando un contrato inteligente para gastar cantidades ilimitadas de sus tokens. El atacante luego llama al contrato para vaciar su billetera en cualquier momento. El phishing de aprobaciones representó más de 374 millones de dólares en pérdidas en 2023, según Scam Sniffer.
Defensa: Siempre lee lo que estás firmando en tu billetera. Si un sitio solicita una aprobación de token "ilimitada", recházala y establece una cantidad específica. Utiliza extensiones de billetera como Rabby o Pocket Universe que simulan transacciones y te advierten antes de firmar algo peligroso.
Seguridad de contratos inteligentes
Cada vez que interactúas con un DeFi protocolo, confías en un contrato inteligente con tus fondos. Los contratos inteligentes son código inmutable desplegado en la cadena de bloques. Una vez aprobados, pueden ejecutar acciones sobre tus tokens sin necesidad de permiso adicional. Gestionar tus interacciones con contratos es una parte crítica de la seguridad cripto.
Verificar & revocar aprobaciones de tokens
Cada interacción DeFi que implique gastar tus tokens (intercambio, depósito, staking) requiere una aprobación de token. Con el tiempo, tu billetera acumula decenas de aprobaciones activas, cada una representando un contrato que tiene permiso para mover tus tokens. Si alguno de esos contratos es explotado o es malicioso, tus fondos están en riesgo.
Utiliza revoke.cash para auditar tus aprobaciones en todas las cadenas. Conecta tu billetera, revisa cada aprobación activa y revoca cualquier que ya no uses. Haz de esto un hábito mensual. Cada revocación cuesta una pequeña tarifa de gas pero elimina un vector de ataque potencial. También considera Etherscan's Verificador de Aprobaciones de Tokens (etherscan.io/tokenapprovalchecker) para revisiones específicas de Ethereum.
Limitar Cantidades de Aprobación de Tokens
Cuando un protocolo DeFi solicita la aprobación de un token, normalmente solicita la aprobación "ilimitada" por defecto. Esto significa que el contrato puede gastar todo tu saldo de ese token en cualquier momento. En su lugar, aprueba solo la cantidad exacta que pretendes usar. MetaMask te permite editar la cantidad de aprobación antes de confirmar.
Sí, necesitará aprobar nuevamente para futuras transacciones, y cada aprobación cuesta gas. Pero el compromiso de seguridad lo vale. Si el hack del frontend de Badger DAO en diciembre de 2021 nos enseñó algo (los usuarios perdieron $120 millones porque tenían aprobaciones ilimitadas a un contrato comprometido), es que las aprobaciones ilimitadas son una bomba de tiempo.
Verificar contratos en exploradores de bloques
Antes de interactuar con un nuevo protocolo, verifica la dirección del contrato en Etherscan (o el explorador de bloques de la cadena correspondiente). Los contratos legítimos tendrán código fuente verificado, lo que significa que puedes leer el código real desplegado en la cadena. Los contratos no verificados son una señal de alerta. Verifica que la dirección del contrato coincida con lo que el proyecto indica en su documentación oficial.
Busca patrones proxy (contratos actualizables), que son comunes en DeFi pero añaden riesgo porque el equipo puede cambiar la lógica del contrato. Verifica si el contrato está detrás de un multisig o timelock, lo que significa que los cambios requieren múltiples aprobaciones y un período de espera.
Lista de verificación de seguridad DeFi
Antes de depositar fondos en cualquier DeFi protocolo, sigue esta lista de verificación. No todos los protocolos que parecen legítimos son seguros. Los rug pulls, el código mal escrito y los exploits económicos pueden resultar en la pérdida total de fondos. La diligencia debida es tu responsabilidad.
| Verificar | Qué buscar | Nivel de riesgo si falta |
|---|---|---|
| Auditorías de seguridad | Al menos una auditoría reputada (Trail of Bits, OpenZeppelin, Spearbit, Cantina). Lee el informe de auditoría y verifica si los hallazgos fueron corregidos. | Crítico |
| Valor total bloqueado (TVL) | Un TVL más alto generalmente significa código más probado en batalla. Sea cauteloso con los protocolos con menos de $10M de TVL. Verifique las tendencias de TVL en DefiLlama. | Alto |
| Equipo & Historial | Equipo doxxeado con identidades verificables. Los equipos anónimos son de mayor riesgo. Verifique si los miembros del equipo tienen proyectos previos y reputaciones. | Alto |
| Tiempo en el mercado | Los protocolos que llevan más de 1 año en funcionamiento sin incidentes son de menor riesgo. Los protocolos nuevos (menos de 3 meses) conllevan un riesgo significativamente mayor. | Alto |
| Código abierto | Código fuente verificado en el explorador de bloques. Los contratos de código cerrado podrían contener puertas traseras ocultas o mecanismos de tarifas. | Crítico |
| Seguridad de Oráculos | Utiliza precios fiables oráculos (Chainlink, Pyth). Los protocolos que usan oráculos TWAP en cadena son vulnerables a ataques de manipulación de precios. | Crítico |
| Comienza pequeño | Deposita primero una pequeña cantidad de prueba. Espera unos días. Verifica que puedes retirar con éxito antes de comprometer cantidades mayores. | Mejor práctica |
Seguridad de intercambio
Los intercambios centralizados (Coinbase, Kraken, Binance) son convenientes para comprar, vender y comerciar cripto. Pero como dice el refrán: "No son tus llaves, no es tu cripto." Cuando mantienes fondos en un intercambio, confías en que la empresa proteja tus activos. Mt. Gox (2014, 850,000 BTC robados), QuadrigaCX (2019, $190M perdidos cuando el fundador murió con acceso exclusivo a las carteras frías), y FTX (2022, $8B en fondos de clientes desaparecidos) son recordatorios claros de este riesgo.
Si debe mantener fondos en un exchange con fines de negociación, maximice la seguridad de su cuenta con estas medidas.
Activar 2FA con llave de hardware
Utilice una YubiKey o una llave Google Titan para iniciar sesión y confirmar retiros. Esto elimina los riesgos de intercambio de SIM y compromisos del autenticador. La mayoría de los exchanges principales admiten llaves de hardware FIDO2/WebAuthn.
Lista blanca de retiros
Habilite la lista blanca de direcciones para que los retiros solo se envíen a direcciones preaprobadas. La mayoría de los intercambios imponen un período de espera de 24 a 48 horas antes de que una dirección recién incluida en la lista blanca se active, dándole tiempo para reaccionar si se ve comprometida.
Código anti-phishing
Configure un código anti-phishing (disponible en Binance, Kraken y otros). Cada correo electrónico legítimo del intercambio incluirá su código único. Si un correo electrónico no contiene su código, es un intento de phishing.
Minimice las tenencias en el intercambio
Solo mantén en el exchange lo que necesitas para operar activamente. Transfiere tus tenencias a largo plazo a una billetera hardware. Trata los exchanges como puntos de entrada y salida, no como almacenamiento.
Qué hacer si eres hackeado
Si sospechas que tu billetera ha sido comprometida, la velocidad lo es todo. El atacante podría estar drenando tus activos en tiempo real. Sigue estos pasos inmediatamente, en orden.
Revoca todas las aprobaciones de tokens inmediatamente
Visita revoke.cash, conecta tu billetera y revoca todas las aprobaciones activas. Esto evita que el atacante drene tokens mediante exploits basados en aprobaciones. Prioriza primero las aprobaciones de tokens de alto valor.
Transferir fondos restantes a una billetera segura
Crea una nueva billetera en un dispositivo limpio (idealmente una billetera hardware). Transfiere todos los activos restantes de la billetera comprometida a la nueva. Si tu frase semilla se filtró, todas las direcciones derivadas de ella están comprometidas, incluidas las direcciones en otras cadenas.
Asegura tus cuentas
Cambie las contraseñas de su correo electrónico, cuentas de intercambio y cualquier servicio conectado a la cartera comprometida. Si sospecha que hay malware en su computadora, no utilice ese dispositivo para acceder a ninguna cuenta de criptomonedas hasta que haya sido limpiado o borrado profesionalmente.
Informar & Documentar
Presente un informe policial (requerido para reclamaciones de seguros y procedimientos legales). Reporte las direcciones del atacante a Chainalysis, TRM Labs y al sistema de reporte de abusos de la blockchain correspondiente. Si los fondos fueron enviados a un intercambio centralizado, contacte al equipo de cumplimiento del intercambio de inmediato, ya que podrían congelar la cuenta.
Forense de blockchain
Para pérdidas significativas, considere contratar una firma de forense blockchain. Empresas como Chainalysis, TRM Labs y ZachXBT (un investigador independiente en cadena) pueden rastrear fondos robados a través de cadenas y mezcladores. Algunas víctimas han recuperado activos mediante acción legal después de que los fondos fueran rastreados a cuentas de intercambio identificables.
Rendimiento con prioridad de seguridad en USDC
Coinstancy prioriza la seguridad para que no tengas que elegir entre seguridad y rentabilidad. Gana un 7 % APY en USDC con capitalización diaria, sin bloqueo, y retiros instantáneos siempre que necesites tus fondos.
Comienza a ganar en CoinstancyPreguntas frecuentes
¿Cuál es la forma más segura de almacenar criptomonedas?
¿Se puede recuperar la criptomoneda robada?
¿Es seguro mantener cripto en un exchange?
¿Qué debo hacer si hice clic en un enlace de phishing?
¿Qué es una aprobación de token y por qué es peligrosa?
¿Es la autenticación de dos factores suficiente para proteger mi cripto?
Continuar aprendiendo
Explora más guías sobre carteras, contratos inteligentes y fundamentos de DeFi.
Cómo usar MetaMask
Configura MetaMask, conecta con aplicaciones DeFi y gestiona tus tokens de forma segura con esta guía paso a paso.
Leer Guía Guía¿Qué es un contrato inteligente?
Comprende cómo funcionan los contratos inteligentes, por qué son importantes para DeFi y cómo interactuar con ellos de forma segura.
Leer Guía Guía¿Qué es el APY en cripto?
Aprende cómo funciona el APY en DeFi, la diferencia entre APR y APY, y cómo el interés compuesto aumenta tus rendimientos.
Leer GuíaProtege tu cripto y hazla crecer
Ahora que los fundamentos de seguridad están en su lugar, pon tu USDC a trabajar. Gana 7% APY en USDC con Coinstancy -- capitalización diaria, sin período de bloqueo y retiros instantáneos.
Comienza a ganar en CoinstancyMantente seguro, gana con confianza
Con prácticas de seguridad sólidas en su lugar, gana 7% APY en USDC con Coinstancy -- capitalización diaria y retiros instantáneos.